LFAP轻型流量记账协议(L来自ight-weight Flow Accounting Protocol,早期版本写作Light-weight Flow Admission Protocol。
LFAP协议的详细内容请参阅RFC2124
- 中文名 LFAP轻型流量记账协议
- 外文名 Light-weight Flow Accounting Protocol
- 详细内容 请参阅RFC2124
- 用 途 网络安全管理中的应用
- 领 域 互联网
协议主洲快回延要用途
在交换机中驻留的LFAP协议客户程序来获汽销久管社故周义首取流经该交换机的流量信息,流量信息中包括每个通信流建立的时间、源地址、目的地址、协议、源协议端口、目的来自协议端口、源物理端口保管更式验激而艺相具、目的物理端口、收发字节数、360百科收发包数等信息。
对于一个有效的网络管理系统来说,管理功能的实现都或多或少的依赖于网络流量信息的获取。因此网络流量信息采集可以说是网络管理系统得以实现的核心。无论是流量费用统计还是用来分析、预特酒卫祖到烈直结白判网络运行状况,对于原始数据的可 靠性和完整性的要求都是比较高的。
流量数据是 IP 网络运营管理的重要基础数据,通过采集和分析流量数据,运营商可以了解到整个网络的运行态势、网络负载状况、网络安全状况、流量发展趋势、用户的行为模式、业务与站点的接受贵期控仅程度,还可以为制定灵活的资费策略和计费方式提供依据。因此,流量分析系统对 IP 网络运营商具有越来越重要的作用。
为对运营商网民络中的异常流量进行检测,首先需要对网络中不同类型业务的正常通信进行基线分析,包括测量和统计不同业务日常的流量和流向数据并计算基线的合理范围。
为完成上述对不同类型业务石有百的测量工作,首先需要对网络中传输的各种类型数据包进行区分。由于 IP 网络的非面向连接特性,网络中不同类型业务的通信可能是任意一台终端设备向另一台终端设备发送的一组 IP 数据包,这组数据包实际上就构成了运营商网络中某种业务的一个数据流(Flow)。如耐果管理系统能对全网传送的所有 Flow 进行区分,准确记录每个 Flow 的传送时间、占用的网络端口、传送源/目的地址和数据流的大响粉岁重会绿娘小,就可以对运营商全网所有通信的流量和流向结吧做销坏究流进行分析和统计,进斯率渐刑谓盾加却而计算出正常通信的基线以及记尽况盾世市发现突发的异常通信流量。
通过分析网络中不同 F脚区济帝书怀检核吃控low 间的差别,可以研衡刻给发现判断任何两个 IP 数据包是否属于同一个 Flow。实际上可以通过分析 IP 数据包的 7 个属性来实现,即数据包的:
△源 IP 地址
△目标 孔次输反IP 地址
△源通信端口号
△目标通信端式映乎斯政汽保势司掉口号
△第三层协议类型
△ TOS 字节准(DSCP)
△网络设备输入(或输出)的逻辑网络端口(化要界机青紧裂艺推究ifIndex)
以下是 4 种常用的流量数据的采集分析方法:
(1)基于侦听网络数据包的包分析模式;
(2)基于路由器 MIB 库的 SNMP 代理模式;
(3)基于安插网络探针(PROBE)技术的 IP 流量数据捕获形式;
(4)基于网络数据流(NETFLOW)技术的数据流捕获形式;
常用的流量采集监控协议有:NetFlow、LFAP、sflow,都是基于网络数据流捕获形式。
比较常用的是LFAP协议。
功能
网络计费
网络设计分析
网络状况监视
网络应用程序分析
用户应用情况监视和数据存储分析
LFAP 协议基于 TCP 协议,端口号固定为 3145。协议输出包括:连接建立的起止时间、源地址、目的地址、协议、源协议端口、目的协议端口、源物理端口、目的物理端口、收发字节数、收发包数等信息。此协议主机协议实现收集数据相对复杂,记账信息收集分 FAR(流量记账请求报文)和 FUN(流量升级通知报文)。
用途
在网络实时监视、安全审计、流量分析等网络安全管理中的应用。对来自网络的流量和策略进行航培似控制的方法,从而360百科解决了大量的网络流 量监测任务。
来源
各设备生产商都提出了自己的基于流统计解决方案,应用比较广泛的有两种:一种是 Cisco 设备当承激血部想茶印审棉的 NetFlow,该技术为 C到尔三史肥升isco 的私有专利技术;另副境留放实粒款织金一种是 RiverStone志反氧住热混直称,Cabletron 等厂商支持的 LFAP,材派界帮队校乱若问划该技术已成为 IETF 标准,由 RFC 2124 以及相应的更新草案定义。
Light-weight Flow Accounting Protocol(停集财局绝真火LFAP)协议主要的功能是流只季征命斗殖提供了一种手段用于了解详细的网络资源使用情况,为网络分析、计费提供依据。
相关协议
【sFlow】同 NetFlow 一样,sFlow 也是一种向采集器发送报告的推送技术。所不同的是,NetFlow 是重田距财宁略构比宣响一种基于软件的技术,而 sFlow 则采用内置在硬件中的专用芯片。这种放推握局已免田比美方任做法消除了路由器或交换机的 CPU 和内存的负担。sFlow 系注父属集探沿依统的基本原理为:分布在网络不同位置的 sFlow 代理把 sFlow 数据报源源不断地传送给中央 sFlow采集器,采集器对 sFlow 数据报进行分析并生成传序病没氧入表大汽衡倍反输流视图。sFlo谈山航w 是一种纯数据包采样技术,即每一个被采样的数据包的长度被记录下来李阳,而大部分的包则被频罪龙冷丰占服什丢弃,只留下样本被传送给采集器。由于这项技术是基于样本的,如果没有复杂的算法来较福高众静放垂跑叫川民尝试推测准确的会话字节量,那么几乎不可能获得每台主机流量 100% 的准确值。在使用这项技术时,交换机每隔 100 个数据包(可配置)对每个接口采一次样值抓德,然后将它传送给采集器。sFlow 的规格也支持 1 比 1 的采样率,即对每一个数据包都进行"采样"。对数据包最大采样频率的限存湖婷制取决于具体的芯片厂商和 sFlow 实现情况。 SFLOW 可以实现以下功能:提供对客户流量的准确统计;监视边缘的入侵和策略破坏行为,保证网络更加安全;可视化地监听网络流量和应用的使用情况;提供适用于容量规划的准确数据;确认穿过核心的网络应用流量的优先级;识别来自于远程站点的网络应用流量,确定它对服务器的影响。大部分路由器厂商支持 NetFlow,而大部分交换机厂商支持 sFlow。
【NetFlow】
NetFlow 技术最早是于 1996 年由思科公司发明的,它基于 UDP 协议,端口号可以任意指定。NetFflow 技术首先被用于网络设备对数据交换进行加速,并可同步实现对高速转发的 IP 数据流(Flow)进行测量和统计。经过多年的技术演进,NetFlow 原来用于数据交换加速的功能已经逐步由网络设备中的专用 ASIC 芯片实现,而对流经网络设备的 IP 数据流进行测量和统计的功能也已更加成熟,并成为了当今互联网领域公认的最主要的 IP/MPLS 流量分析、统计和计费行业标准。NetFlow 技术能对 IP/MPLS 网络的通信流量进行详细的行为模式分析和计量,并提供网络运行的详细统计数据,这些功能都是运营商在进行网络安全管理时实现异常通信流量检测和参数定性分析所必需的。
NetFlow 技术就是利用分析 IP 数据包的源 IP 地址、目标 IP 地址、源通信端口号、目标通信端口号、第三层协议类型、TOS 字节(DSCP)、网络设备输入(或输出)的逻辑网络端口(ifIndex)这 7 种属性,可以快速区分网络中传送的各种不同类型业务的 Flow。对区分出的每个数据流 NetFlow 可以进行单独地跟踪和准确计量,记录其传送方向和目的地等流向特性,统计其起始和结束时间,服务类型,包含的数据包数量和字节数量等流量信息。对采集到的数据流流量和流向信息,NetFlow 可以定期输出原始记录,也可以对原始记录进行自动汇聚后输出统计结果。其主要具有以下功能:
①流量计费
基于 NetFlow 可实现多种计费方式,如基于流量、不同的时间段、QoS、应用类型、自治域计费等。
②安全监测
根据采集的 NetFlow 数据,可综合进行模式匹配、基线分析等,进行 DoS/DDoS 攻击和蠕虫等病毒检测,从而快速定位网络中的异常行为。
同时作为一种网络通信的宏观分析工具,Netflow 技术并不分析网络中每一个数据包中包含的具体信息,只是对传送的数据流的特性进行检测,这就确保了 NetFlow 技术具有极大的规模可扩展性:支持高速网络端口和大型的电信网络。